Nos últimos anos, armazenar dados em grandes provedores americanos de nuvem parecia a escolha mais prática e econômica. AWS, Azure e Google Cloud oferecem data centers espalhados pelo mundo, inclusive no Brasil, o que levou muitas empresas a acreditar que tinham controle sobre suas informações.
Essa percepção, no entanto, tem uma limitação jurídica importante.
Desde 2018, uma lei americana chamada CLOUD Act (Clarifying Lawful Overseas Use of Data Act) autoriza o governo dos Estados Unidos a exigir acesso a dados armazenados por empresas americanas de tecnologia, independentemente do país onde esses dados estejam fisicamente hospedados. Informações guardadas em um servidor em São Paulo, se estiverem sob custódia de uma empresa americana, podem ser legalmente requisitadas por autoridades dos EUA sem que a empresa brasileira seja notificada.
Com o acirramento das tensões geopolíticas e a reaproximação entre o governo americano e as grandes plataformas de tecnologia, esse cenário passou a ter consequências práticas. Empresas brasileiras que ainda não avaliaram sua exposição estão sujeitas a um risco que frequentemente não aparece no radar de TI.
O que é soberania de dados e por que ela importa para o seu negócio?
Soberania de dados é a capacidade de uma empresa de manter controle sobre suas informações: saber onde estão armazenadas, sob qual legislação estão protegidas e quem pode acessá-las.
Na prática, significa garantir que disputas, requisições ou incidentes envolvendo esses dados sejam resolvidos sob as leis brasileiras, especialmente a LGPD (Lei Geral de Proteção de Dados), e não sob legislações estrangeiras que estabelecem regras diferentes.
Quando uma empresa utiliza um provedor americano de nuvem, mesmo que o servidor esteja no Brasil, a empresa provedora continua sujeita à jurisdição dos Estados Unidos. Há, portanto, uma separação entre onde os dados estão fisicamente e quem tem autoridade legal sobre eles.
O Gartner identificou a geopatriação de dados, ou seja, a migração de dados de nuvens globais para infraestruturas locais, como uma das dez tendências tecnológicas estratégicas para 2026. O movimento é uma resposta ao aumento de riscos jurídicos e geopolíticos que afetam empresas de todos os setores.
O risco real para empresas brasileiras
Levantamentos recentes indicam que 87% das organizações brasileiras reportam preocupação com interferência estrangeira nos seus dados. Nos setores financeiro, jurídico, de saúde e de infraestrutura, órgãos reguladores já exigem que as empresas garantam que suas informações estejam sob controle nacional.
Em 2024, a Câmara dos Deputados aprovou um projeto de lei que amplia os poderes de supervisão sobre serviços de nuvem usados por instituições financeiras. No mesmo período, a ANPD estabeleceu regulamento com condições rigorosas para transferência de dados pessoais ao exterior. O governo federal lançou a Política Nacional de Data Centers, com incentivos fiscais para infraestrutura digital em solo nacional.
A regulação brasileira caminha para exigir maior controle sobre onde e como os dados das empresas são armazenados. Quem depende exclusivamente de provedores estrangeiros pode, em breve, enfrentar tanto risco de exposição quanto exigências de adequação regulatória.
Ter um servidor no Brasil não é suficiente
A localização física do servidor é um fator relevante, mas não determina sozinho a jurisdição dos dados. O que define quem tem autoridade legal sobre essas informações é a empresa que as custodia, não o endereço do data center.
Um servidor de uma big tech americana em São Paulo continua sob gestão de uma empresa americana, operado sob leis americanas e sujeito a requisições do governo dos EUA com base no CLOUD Act.
A proteção adequada depende de infraestrutura sob jurisdição brasileira, contratos alinhados à LGPD, cadeia de custódia documentada e ausência de subordinação a legislações estrangeiras. Provedores de nuvem nacionais, empresas brasileiras que operam data centers em território nacional, atendem a esses critérios: disputas são resolvidas em tribunais brasileiros, a LGPD é o padrão de proteção aplicado e não há conflito de jurisdição.
Como conduzir a migração de forma segura
Migrar para uma infraestrutura soberana não exige abandonar os provedores internacionais por completo. O modelo mais adotado por empresas que já fizeram essa transição é o híbrido: dados sensíveis e regulados em nuvem nacional, cargas variáveis ou sem requisitos de soberania em provedores internacionais.
O processo envolve etapas que precisam ser conduzidas com método: mapeamento do ambiente atual, classificação dos dados por nível de sensibilidade, seleção do provedor nacional adequado ao porte e ao setor da empresa, e execução da transição sem interrupção das operações.
A Exact Solution atua em todo esse processo. Com mais de 11 anos de experiência em gestão de infraestrutura de TI para médias e grandes empresas, o time conduz a migração de nuvem do diagnóstico inicial à operação estabilizada no novo ambiente. Antes de qualquer movimentação técnica, são avaliados os riscos específicos do ambiente do cliente, os requisitos regulatórios do setor e o impacto da transição nas operações cotidianas.
O que sua empresa pode fazer agora
O ponto de partida é mapear onde os dados estão e sob qual jurisdição. Algumas perguntas que orientam essa avaliação:
- Quais dados da empresa estão em provedores estrangeiros de nuvem?
- Esses provedores são subordinados a legislações estrangeiras?
- Existe um plano de contingência caso o acesso a esses dados seja interrompido por decisão externa?
- A empresa está em conformidade com as exigências da LGPD e do seu setor regulatório?
Quanto mais sensíveis forem os dados, mais urgente é ter respostas claras para essas perguntas.
Perguntas Frequentes
Ter um servidor no Brasil garante que os dados estão protegidos de acessos estrangeiros?
Não. A localização física do servidor não determina a jurisdição dos dados. O que define quem tem autoridade legal sobre as informações é a empresa que as custodia. Se o provedor for uma empresa americana, ela continua sujeita às leis dos Estados Unidos, incluindo o CLOUD Act, independentemente de onde o servidor esteja instalado.
O CLOUD Act se aplica a empresas brasileiras?
O CLOUD Act não regula empresas brasileiras diretamente, mas obriga empresas americanas de tecnologia a fornecer dados ao governo dos EUA mediante requisição, mesmo que esses dados sejam de clientes brasileiros e estejam armazenados no Brasil. Empresas brasileiras que utilizam serviços de provedores americanos têm seus dados sujeitos a essa legislação.
A LGPD protege os dados da minha empresa quando estão em nuvem estrangeira?
A LGPD se aplica ao tratamento de dados realizado no Brasil, mas não alcança requisições feitas por governos estrangeiros com base em suas próprias leis. Existe um conflito de jurisdição: a LGPD garante direitos dentro do território brasileiro, mas não impede que autoridades americanas requisitem dados com base no CLOUD Act a um provedor sujeito às leis dos EUA.
O que é geopatriação de dados?
É o processo de transferir dados e sistemas de nuvens públicas globais para infraestruturas locais, sob jurisdição nacional. O Gartner identificou a geopatriação como uma das dez tendências tecnológicas estratégicas para 2026, em resposta ao aumento de riscos jurídicos e geopolíticos relacionados ao armazenamento de dados em provedores estrangeiros.
Minha empresa precisa sair dos provedores internacionais para estar protegida?
Não necessariamente. O modelo híbrido é o mais adotado: dados sensíveis e regulados migram para nuvem nacional, enquanto cargas variáveis ou sem requisitos de soberania permanecem em provedores internacionais. A decisão depende do tipo de dado, do setor de atuação da empresa e das exigências regulatórias aplicáveis.
Quais setores têm obrigação regulatória de garantir soberania de dados no Brasil?
Os setores financeiro, de saúde e de infraestrutura crítica são os mais regulados nesse aspecto. Em 2024, a Câmara dos Deputados aprovou um projeto de lei ampliando a supervisão sobre serviços de nuvem usados por instituições financeiras. A ANPD estabeleceu condições rigorosas para transferência de dados pessoais ao exterior, o que afeta empresas de qualquer setor que tratem dados de pessoas físicas.
